Skip to Content

Politique de confidentialité

Plateforme : ob-e.fr / eparcours.ob-e.fr Version : V3 — dernière mise à jour : 14 avril 2026

Article 1 — Préambule

La présente politique de confidentialité s’applique au site ob-e.fr et à la plateforme eparcours.ob-e.fr (ci-après « la Plateforme »).

La Plateforme Ob-e propose un e-parcours d’éducation thérapeutique (ETP) dédié à l’accompagnement des patients en situation d’obésité. Elle s’inscrit dans le cadre du soin courant. Ob-e n’est pas un programme de recherche clinique interventionnelle au sens de la loi Jardé ; le traitement des données à des fins de suivi médical repose sur les bases légales du soin et de l’exécution contractuelle. Un volet de recherche distinct, encadré par la Méthodologie de Référence MR-004 de la CNIL, est décrit à l’article 4.

Responsable de traitement

L’unique responsable de traitement au sens du Règlement (UE) 2016/679 (RGPD) et de la loi n°78-17 du 6 janvier 1978 modifiée est :

AP-HP — Hôpital Pitié-Salpêtrière Service de Nutrition, Institut E3M, GHU Pitié-Salpêtrière Charles Foix 47/83 boulevard de l’Hôpital, 75651 Paris Cedex 13

Opérateur technique (sous-traitant)

Le fonctionnement technique de la Plateforme est assuré par :

Thomas Bozzo Consulting (TBC), opérant sous la marque commerciale Ducal.tech SAS au capital de 1 500 € — SIREN 881 187 843 — R.C.S. Paris 59 rue de Ponthieu, Bureau 326, 75008 Paris Site : ducal.tech 

TBC intervient exclusivement en qualité de sous-traitant au sens de l’article 28 du RGPD, lié à l’AP-HP par un contrat de sous-traitance (Data Processing Agreement). TBC ne traite les données que sur instruction documentée du responsable de traitement.

Contact pour toute demande : contact@ducal.tech (relais technique vers le DPO AP-HP).

Article 2 — Principes généraux

Conformément à l’article 5 du RGPD : licéité, loyauté, transparence ; finalités limitées ; minimisation ; conservation limitée ; intégrité et confidentialité.

Bases légales

  • Exécution du contrat de soin (art. 6.1.b RGPD).
  • Consentement explicite (art. 6.1.a et 9.2.a RGPD).
  • Mission d’intérêt public en santé (art. 9.2.h et 9.2.i RGPD).
  • Intérêt public — recherche (art. 6.1.e et 9.2.j RGPD, art. 44 loi Informatique et Libertés — MR-004).
  • Obligation légale (art. 6.1.c RGPD).

Article 3 — Données collectées et traitées

A. Catégories

  • Identification : prénom, nom, email, date de naissance, genre, téléphone.
  • Connexion : session, adresse IP, logs.
  • Progression : modules suivis, résultats, état d’avancement.
  • Santé comportementale (art. 9 RGPD) : scores HAD, IES-2, TFEQ.
  • Anthropométriques : IMC à l’inclusion.
  • Prospects : email, échanges via formulaire de contact.

B. Inclusion du patient

L’inclusion est effectuée exclusivement par un professionnel de santé prescripteur habilité. Lors de la première connexion, le patient donne son consentement explicite à la participation au programme ETP et au traitement de ses données ; l’accès est conditionné à ces consentements. Un consentement distinct à l’utilisation des données à des fins de recherche (art. 4) est recueilli en fin de parcours et peut être refusé sans impact sur le suivi médical.

C. Finalités

  • Gestion du compte et de l’accès.
  • Suivi de la progression dans le parcours ETP.
  • Transmission des résultats au prescripteur.
  • Évaluation clinique (HAD, IES-2, TFEQ).
  • Amélioration de la Plateforme.

Aucune transmission à des tiers commerciaux. Aucune exploitation publicitaire. Destinataires : équipe soignante AP-HP, personnel technique TBC (sur instruction), chercheurs AP-HP pour les données pseudonymisées dans le cadre de l’article 4.

D. Durées de conservation

  • Données du compte : 5 ans après fin de relation.
  • Données de progression et de soin : 5 ans après dernière interaction.
  • Données de santé comportementale : 5 ans, anonymisation possible ensuite.
  • Logs de connexion : 12 mois.
  • Données prospects : 3 ans.
  • Données recherche : jusqu’à publication + 2 ans, puis anonymisation ou destruction.
  • Traçabilité des consentements et oppositions : 6 ans.

E. Hébergement et transferts

Hébergé en France par Outscale (filiale Dassault Systèmes), SIREN 527 594 493, 1 rue Royale, 92210 Saint-Cloud, hébergeur certifié HDS niveaux 1 à 6 (art. L.1111-8 CSP), ISO 27001, SecNumCloud. Aucun transfert hors UE.

F. Sous-traitants ultérieurs

  • Outscale (Dassault Systèmes) — Hébergement HDS.
  • Mailjet (Sinch France) — Envoi d’emails transactionnels.

Article 4 — Utilisation des données à des fins de recherche

4.1 Cadre général

Certaines données collectées sont susceptibles d’être utilisées à des fins de recherche médicale. L’AP-HP agit en qualité de responsable de traitement pour ce volet, dans le cadre de la Méthodologie de Référence MR-004 (RNIPH). Le traitement est inscrit au registre des activités de recherche de l’AP-HP.

4.2 Finalité et données concernées

Étude : « Démontrer l’impact clinique positif d’OB-E de chaque module développé », en vue de publication scientifique. Données susceptibles d’être transmises aux chercheurs : résultats des questionnaires de qualité de vie (avant/après complétion), IMC à l’inclusion, email/genre/nom/prénom/date de naissance/téléphone (uniquement pour pseudonymisation).

Toutes les données font l’objet d’une pseudonymisation préalable à toute transmission. Aucune donnée identifiante directe n’est communiquée aux chercheurs.

4.3 Base légale

Intérêt public (art. 6.1.e RGPD) + art. 9§2(j) RGPD + art. 44 loi Informatique et Libertés (MR-004).

4.4 Droit d’opposition

Le patient dispose d’un droit d’opposition sans avoir à motiver sa demande. Ce droit s’exerce sans préjudice du bon déroulement du suivi médical : refuser la recherche ne bloque ni l’accès ni les fonctionnalités de soin.

Un écran dédié est présenté à la fin de chaque module, comportant identité AP-HP RT, finalité, base légale, liste des données, durée de conservation, coordonnées DPO AP-HP, modalités d’opposition. Chaque choix fait l’objet d’un enregistrement horodaté (date, heure, utilisateur, version du texte, IP) conservé pendant 6 ans.

Opposition à tout moment :

  • Email : dpo@aphp.fr
  • Courrier : DPO AP-HP / DSN, 33 Bd Picpus – CS21705, 75571 Paris Cedex 12

4.5 Droits applicables

Conformément à l’article 44 de la loi Informatique et Libertés, les droits d’accès, rectification, effacement peuvent faire l’objet de restrictions dans la stricte nécessité pour ne pas compromettre la recherche.

Article 5 — Droits des utilisateurs

Chaque utilisateur dispose des droits d’accès, rectification, effacement (sous réserve des obligations légales de conservation : dossier médical, obligations fiscales, défense de droits, intérêt public en santé), portabilité (format structuré JSON/CSV), opposition, limitation, post-mortem (loi n°2016-1321).

Modalités d’exercice

  • Email : donnees@ob-e.fr (relais TBC, transmission au DPO AP-HP sous 48 h).
  • DPO AP-HP direct : dpo@aphp.fr
  • Courrier : DPO AP-HP / DSN, 33 Bd Picpus – CS21705, 75571 Paris Cedex 12

Première demande gratuite. Réponse sous un mois (prolongeable de deux mois si complexité).

Réclamation CNIL

CNIL — 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 — Tél. 01 53 73 22 22 — www.cnil.fr 

Article 6 — Sécurité

Chiffrement TLS 1.2+ en transit et AES-256-GCM au repos ; authentification forte (MFA en cours, compatibilité Pro Santé Connect) ; RBAC et journalisation des accès ; hébergement HDS (Outscale) ; analyse statique Semgrep ; DPA AP-HP/TBC. En cas de violation, TBC notifie l’AP-HP sous 24h, le DPO AP-HP notifie la CNIL sous 72h.

Article 7 — Cookies et traceurs

Seuls des cookies strictement nécessaires : cookie de session, cookie d’identifiant utilisateur (60 jours), jetons CSRF (session). Aucun cookie publicitaire, analytique tiers ou de tracking. Logs d’accès conservés 12 mois.

Article 8 — Modification

En cas de modification substantielle, les utilisateurs sont informés par email avant l’entrée en vigueur.

Article 9 — Acceptation

Lors de la première connexion, l’utilisateur donne un consentement explicite aux traitements décrits.

Coordonnées

  • AP-HP Pitié-Salpêtrière (RT) — 47/83 boulevard de l’Hôpital, 75651 Paris Cedex 13.
  • DPO AP-HPdpo@aphp.fr — DPO / DSN, 33 Bd Picpus CS21705, 75571 Paris Cedex 12.
  • Thomas Bozzo Consulting (Sous-traitant art. 28) — donnees@ob-e.fr — 59 rue de Ponthieu, Bureau 326, 75008 Paris.
  • CNILwww.cnil.fr  — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Dernière mise à jour le